Kiedy lokalna firma pożyczkowa poprosiła Alana Goodwina, człowieka z Palmerston North, o hasło do konta bankowego, wpadł na wzgórza.
Goodwin szukał pożyczki samochodowej od pożyczkodawcy pozabankowego Better.co.nz. Firma poinformowała go, że pożyczka może zostać zatwierdzona dopiero po przesłaniu swoich danych finansowych na zewnętrznej stronie internetowej „bankstatements.co.au”.
Witryna poprosiła o jego imię i nazwisko, bank, numer klienta i hasło. Obawiając się, że strona jest oszustwem, Goodwin nie wypełnił formularza.
Ale firma pożyczkowa i firmy stojące za „bankstatements.co.au” zastosowały się do ich wniosku jako standardowej praktyki biznesowej, co jest przedmiotem wielkiej troski ekspertów ds. bezpieczeństwa komputerowego.
Czytaj więcej:
* Firmy zagrożone jako podatność zidentyfikowana w popularnym oprogramowaniu
* Samotna mama wydaje ostrzeżenie po tym, jak padła ofiarą oszustwa tekstowego
* Prawie 30 000 użytkowników telefonów zgłosiło otrzymywanie fałszywych SMS-ów dla „FluBot”
Rzecznik bankstatements.com.au powiedział, że prośba o hasła bankowe jest standardowym i bezpiecznym sposobem wyodrębnienia danych finansowych z konta bankowego danej osoby.
Goodwin nie miał żadnego.
„Nawet jeśli ta firma jest legalna, przechowywanie tych prywatnych informacji jest okropną praktyką biznesową. Niezależnie od ich bezpieczeństwa” – powiedział.
Goodwin pracuje w IT i powiedział, że wie, że nigdy nikomu w Internecie nie należy podawać hasła do banku.
Nie przekażę swojego hasła pracownikom banku, jeśli o to poproszą, nie przekażę go rządowi. Dlaczego miałbyś udostępniać te informacje jakiejkolwiek stronie trzeciej? – powiedział Goodwin.
Nadia Yousef, dyrektor ds. reagowania na incydenty w CERT NZ, zgadza się z Goodwin, opisując prośbę o hasła bankowe jako „bardzo niezwykłą praktykę biznesową”.
„Daj swoje hasło do banku każdemu, kto da im klucze do królestwa. To są twoje dane osobowe, twoje pieniądze i nie masz kontroli nad tym, co zrobi z nimi strona trzecia” – powiedział Youssef.
Powiedziała, że nikt nie powinien udostępniać swojego hasła bankowego osobom trzecim, zwłaszcza dla wygody, że nie trzeba logować się na konto i drukować wyciągów bankowych.
„Z pewnością rozumiem wygodę szybkiego procesu online, ale to nie przewyższa ryzyka dzielenia się tymi informacjami z kimkolwiek. Jest to wiele negatywnych konsekwencji, a pozytywów jest bardzo niewiele. Nasze stanowisko jest takie, że to jest po prostu zbyt ryzykowne” – powiedział Yusef.
Samuel Kavanaugh, właściciel firmy pożyczkowej Better.co.nz, zatwierdził wymaganie haseł bankowych klientów jako „standard branżowy”.
Ten proces, który daje klientom dostęp do swoich danych bankowych, pozwala nam na uproszczenie wniosku kredytowego. To bardzo popularny produkt na rynku nowozelandzkim.
Zaostrzenie prawa kredytowego z powodu nowego Ustawodawstwo ustawy o umowach kredytowych i finansach konsumenckich Kavanaugh powiedział, że CCFA oznacza, że pożyczkodawcy używają go częściej niż kiedykolwiek wcześniej.
„Zaostrzenie przepisów kredytowych 1 grudnia oznacza, że te informacje o klientach są wymagane częściej niż kiedykolwiek. Ponad połowa naszych klientów dostarcza nam wyciągi bankowe za pośrednictwem tej usługi” – powiedział Kavanaugh.
Australijska agencja kontroli kredytowej, Ilion, firma stojąca za „bankstatements.com.au”, powiedziała, że setki instytucji finansowych w Nowej Zelandii używają jej technologii do uzyskiwania dostępu do detalicznych rachunków bankowych.
Proces ten, który według Illion był w 100 procentach bezpieczny, nazwano „przechwytywaniem danych cyfrowych”. Był to proces autoryzowany przez konsumenta, w którym zautomatyzowany system pobierał dane za pośrednictwem portalu bankowego w imieniu konsumenta.
Czy ci się to podoba, czy nie, był to najlepszy sposób na szybkie dotarcie do danych bankowych klientów wymaganych przez przepisy CCCFA, powiedział Lyn McMorran, dyrektor Federacji Usług Finansowych.
Możliwe jest również, że klienci sami logują się na swoje konta bankowe i przesyłają wyciągi bankowe, powiedziała, ale powiedziała, że większość klientów wybrała najłatwiejszą opcję.
„Jeżeli jesteś w salonie samochodowym i tego samego dnia chcesz kupić samochód, możesz nie mieć czasu na pobranie wyciągów bankowych. Ta metoda daje firmie pożyczkowej to, czego potrzebujesz w 100% bezpieczny sposób.
McMorran powiedział, że nowe przepisy dotyczące udzielania pożyczek i dodatkowe dane wymagane od pożyczkodawców będą oznaczać, że będziemy widzieć coraz więcej miejsc proszących o prywatne dane.
Stanie się tak za każdym razem, gdy ktoś otrzyma finansowanie od pożyczkodawcy pozabankowego. Dzieje się to od lat i będzie się nasilać. To jedyny sposób, w jaki pożyczkodawcy pozabankowi mogą uzyskać dostęp do potrzebnych im informacji.
– Chyba że klient sam otrzyma informacje o transakcji – powiedział McMorran.
Dyrektor generalny New Zealand Bankers Association, Roger Beaumont, powiedział, że zasady i warunki banku generalnie obejmują nieudostępnianie nikomu danych dostępu do konta bankowego.
Oznacza to, że każdy klient, który anulował niniejsze warunki, nie będzie objęty ochroną przed oszustwami ze swojego banku, jeśli zostanie później narażony na oszustwo po udostępnieniu hasła bankowego.
Jeśli chodzi o Goodwina, planował zaciągnąć kredyt samochodowy firmie, która nie zażądała od niego hasła do konta bankowego.
„Może nastąpić zmiana w prawie kredytowym, która wymagałaby więcej informacji, ale to nie jest wymówka, by prosić klientów o zrobienie czegoś poważnego” – powiedział Goodwin.